返回
常见源代码安全漏洞分析与研究

常见源代码安全漏洞分析与研究

ID:5299282

大小:362.88 KB

页数:5页

时间:2017-12-07

常见源代码安全漏洞分析与研究_第1页
常见源代码安全漏洞分析与研究_第2页
常见源代码安全漏洞分析与研究_第3页
常见源代码安全漏洞分析与研究_第4页
常见源代码安全漏洞分析与研究_第5页
资源描述:

《常见源代码安全漏洞分析与研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、2014年第O2期litdoi:103969/jissn1671-11222014.02009常见源代码安全漏洞分析与研究朱圣才,徐御,王火剑(1.上海市信息安全测评认证中心,上海200011;2.浙江省公安厅网警总队,浙江杭州310009)摘要:源代码安全作为软件安全最为重要的安全点之一,是软件安全最底层的关键点。文章提出了源代码安全的一些常见的检测指标,结合SQL注入、跨站脚本、路径篡改和空指针4个比较常见的源代码安全漏洞对源代码安全进行了详细的分析研究。文章提出了源代码安全必须规避的一些基本方法,提高了源代码的安全和质量。关键词:源代码安全;应用安全;

2、SQL注入;跨站脚本中图分类号:TP309文献标识码:A文章编号:1671—1122(2014)02—0048—05CommonSourceCodeVulnerabilityAnalysisandResearchZHUSheng—cai,xUY_u,WANGHuo-jian(1.ShanghaiInformationSecurityTestingEvaluationandCertifcationCenter,Shanghai200011,China;2.NetworkPoliceCorpsofZhejiangMunicipalPublicSecurityBu

3、reau,HangzhouZhejiang310009,China)Abstract:AsoneofthemostimportantsafetypointsinsoRwarcsecurity,sourcecodesecurityisthelowestkeypointofsoftwaresecurity.Thispaperpresentssomeofthecommonsourcecodesecuritytestingindicators,carriesoutadetailedanalysisonthefourCOlTlmonsourcecodesecurity

4、vulnerabilitiesofSQLinjection,cross—sitescripting,pathtamperingandnullpointer.ThispaperproposessomebasicmethodsthattheSOurcecodesecuritymustcircumventtoimprovethesafetyandqualityofthesourcecode.Keywords:sourcecodesecurity;applicationsecurity;SQLinjection;crosssiteSC—pting0引言网络技术的飞速

5、发展促成了网络应用的不断成熟,网络已经成为人们日常生活中的一个重要组成部分⋯。然而,人们在享受网络应用方便的同时,安全问题也变得越来越突出。黑客、病毒、木马等不断攻击着各种网络应用,如何保证网络应用的安全成为一个热门话题。根据IT研究与顾问咨询公司Gartner统计数据显示,75%的黑客攻击发生在应用层。而NIST的统计显示92%的漏洞属于应用层而非网络层。因此,应用软件自身的安全问题是信息安全领域最为关心的问题,也是一个全新的领域,需要应用软件开发和管理的各个层面共同努力来完成。随着应用安全的不断开展,在对应用软件进行应用安全评估时,大多数问题都是出现在软

6、件的编码阶段,如SQL注入、跨站脚本等,需要通过修改应用软件的编码来解决这些问题。因此,解决应用软件的安全问题必须从底层源代码入手,在源代码安全上做到最佳防范。1应用安全目前,应用软件安全性的检测大多数是通过软件测试的方式来实现。软件测试大体上分为黑盒测试和白盒测试两种方式。1)黑盒测试。也就是俗称的功能测试,通过功能验证方式来检测每个功能是否都能正常使用。在测试中,把程序看作一个不能打开的黑盒子,在完全不考虑程序内部结构和内部特性的情况下,在程序接口进行测试。它只检查程序功能●收稿日期:2013—09—25基金项目:国家科技支撑计划[H50B02]作者简介

7、:朱圣才(1986一),男,安徽,工程师,硕士,主要研究方向:信息安全、虚拟化与云计算;徐御(1978一),男,上海,高级工程师硕士,主要研究方向:信息安全、虚拟化与云计算;王火剑(1975一),男,浙江,工程师,本科,主要研究方向:信息安全。2014年第o2期是否按照需求规格说明书的规定正常使用,程序是否能适和Coverity、Parasoft等公司的产品。而在静态源代码当地接收输入数据而产生正确的输出信息。黑盒测试着眼安全分析方面,有Fortify公司的FortifySCA、Security于程序外部结构,不考虑内部逻辑结构,主要针对软件界Innovat

8、ion公司的CheckmarxSuite和Armor

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。